每一届RSA大会的创新沙盒环节都备受期待。创新沙盒的初衷是为网络安全领域的初创企业提供一个平台,展示他们的创新技术或愿景,以及他们可能给信息安全行业带来的变化和发展。2019年入围RSA大会创新沙盒“十强”的企业将于3月4日在大会现场分别进行约3分钟的演讲,并回答组委会提问。评委包括行业投资专家、网络安全专家、网络安全公司CEO、企业CISO、行业顾问等。为了帮助大家了解这十家公司,绿盟科技推出系列文章。今天给大家介绍一下CloudKnox。公司介绍CloudKnox是一家位于美国加州桑尼维尔市的初创高科技公司,成立于2015年9月,公司已完成A轮融资,融资总额1075万美元。在介绍公司之前,让我们先问以下问题:-谁有权访问云环境?-这些用户有什么权限?-用户可以用这些权限做什么?-用户实际使用什么权限?-有哪些风险,我们如何降低风险?当前的云平台大多采用基于角色的访问控制(RBAC)访问控制模型。不同的角色有不同的权限,然后赋予用户特定的角色以拥有相应的权限。然而,在云环境中,根据这样的策略授予用户的权限可能太大了。2017年2月,亚马逊AWS因程序员误操作删除了大量服务器,最终导致AmazonS3宕机4小时。由此可见,在云环境下,限制高危权限的操作尤为必要。CloudKnox专注于访问控制领域,致力于解决上述问题。它侧重于用户身份的权限和他们实际使用的权限。它希望通过对用户在运营中使用的身份和权限进行梳理,将其身份所需的权限降到最低,从而降低未使用权限泄漏的风险。产品介绍本公司提供云安全平台(CloudKnoxSecurityPlatform),用于混合云环境下的身份授权管理(IdentityAuthorizationAdministration,IAA),以降低凭证丢失、误用和恶意内部人员的风险。目前平台支持主流的云计算环境,如MicrosoftAzure、VMWarevSphere、AmazonWebServices、GoogleCloud等。CloudKnox安全平台具有五个关键功能:(1)身份、权限、活动和资源的可视化和洞察力;(2)基于活动的身份授权,包括服务账号和API密钥、第三方合作伙伴等;(3)JEP(JustEnoughPrivileges)控制器可以自动调整用户权限,从而降低高权限用户带来的风险;(4)混合云环境中的异常检测和身份识别活动分析;(5)为合规报告提供高质量的活动数据,为调查问题提供强大的查询接口。下面是该平台的一些截图来介绍它的功能。(1)CloudKnox安全平台持续监控用户的行为,用户的行为隐含着系统对用户进行操作的授权。通过持续监控,平台可以将用户的权限分为已使用和未使用两类,如下图所示。安全管理员一开始会授予用户一定的权限,但有些业务权限可能用不到,有可能被窃取和滥用,造成不必要的风险。换句话说,如果可以削减这些未使用的权限,则可以将风险降到最低。(2)平台将对上述风险进行评估。如果未使用的权限越多,或者滥用这些权限的风险越高,则总体风险评分就会越高。(3)管理员在发现上述风险后,可以通过点击鼠标取消或授权该身份的权限。(4)可以直观的看到用户的威胁评分等信息,还可以导出成CSV、PDF等文件。点评传统的权限管理是固定的、不可持续的,容易导致管理与运营脱节。通过分析,我们发现CloudKnox的思路是,如果用户拥有某项权限,但平时不使用该权限,则可以认为该用户没有该权限,将其撤销。这实际上是实现最小特权原则的一种方式。CloudKnox提出的JEP本质上就是最小权限原则。但是,这种在运行时的闭环评估比传统的权限管理更实用,也更好。用户体验。然而,在实际环境中,身份与权限的关系是复杂的。有些权限即使没有使用过,也可能在某个时刻需要使用。这个时刻可能对应丢失凭据、滥用和恶意内部操作,但也可能是普通用户的需求。虽然管理员可以对被撤销的权限进行重新授权,但是从用户需要这个权限到管理员验证授权之间会有一定的时间间隔,这个间隔可能会导致一些关键业务的响应不够及时。另外,当身份和权限较多时,管理员的工作量可能会比较大。笔者并未从CloudKnox的公开资料中看到这些问题的相关描述。但总的来说,通过限制用户实际未使用的权限,可以有效降低凭证丢失、误用和恶意内部人员的风险。公司官网:http://www.cloudknox.io
